Consent mode v2 dla zapominalskich [PORADNIK]

Google wymaga, by każda strona internetowa i aplikacja korzystające z technologii śledzących Google Ads przesyłały aktualny stan zgody użytkownika na przetwarzanie danych przy każdym wywołaniu kodu śledzącego.

Oznacza to, że muszą one nie tylko efektywnie zbierać zgody „na cookie”, ale i w odpowiedni sposób przekazywać do Google informację o tym, na co dany użytkownik się zgodził, a na co nie.

W konsekwencji, chcąc skutecznie reklamować się w Google, musisz posiadać system zarządzania zgodami (consent management), który wyświetli baner cookie, zbierze zgodę lub odmowę użytkownika i będzie sterować tagami śledzącymi Google skonfigurowanymi w consent mode.

Źródło: adequate.digital

Dziękujemy 90 000 fanom na LinkedInie. Jesteś tam z nami?

Obserwuj

Jeśli taki system już masz od jakiegoś czasu (consent mode v1 wprowadzono w roku 2020), trzeba go zaktualizować do najnowszej wersji – consent mode v2.

Poznaj Cropink – szybko i prosto twórz reklamy produktowe. Uwolnij Twoją kreatywność

Od strony technicznej zmiany w v2 są nieznaczne i polegają na dodaniu dwóch dodatkowych statusów zgody marketingowej (zgody na remarketing i zgody na wykorzystanie 1st party data). Najistotniejszą zmianą, którą niesie consent mode v2 jest to, że jest ona obowiązkowa dla reklamodawców Google Ads.

Co się stanie, jeśli nie wdrożysz consent mode v2

Jeśli jeszcze nie masz consent mode v2, najwyższy czas go wdrożyć. Ale nie wpadaj w popłoch. Nie znaczy to, że w przeciwnym przypadku po 6 marca wszystkie reklamy Google przestaną działać, czy dojdzie do zawieszenia konta. Taka sytuacja jest mało prawdopodobna.

Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?

Rozwijaj się

Niemniej, jeśli to zignorujesz, to w ciągu najbliższych tygodni lub miesięcy, stracisz całkowicie remarketing, a za jakiś czas bez śledzenia konwersji prawdopodobnie przestaną się wyświetlać kampanie z celem ROAS i CPA – a w pozostałych przypadkach nie będzie możliwa żadna automatyczna optymalizacja konwersji.

Zmiany mają związek z Digital Markets Act (DMA) – regulacją europejską, która zobowiązuje Google do zapewnienia, że dane przetwarzane przez nich do celów reklamowych posiadają odpowiednią zgodę.

W oficjalnej informacji Google na ten temat można przeczytać, że w związku z dostosowaniem się do wymogów DMA, consent mode v2 jest niezbędny, by móc prowadzić remarketing i śledzić konwersje z reklam oraz że „trzeba podjąć przed marcem 2024 r. natychmiastowe działania”, by zachować remarketing.

Tak więc, konsekwencje dotyczą „tylko” Google Ads oraz funkcji reklamowych realizowanych przez Google Analytics i inne rozwiązania Google Marketing Platform.

Google ma obowiązek dostosować się do DMA do 6 marca 2024 r. Jest to więc prawdopodobna data, po której można oczekiwać pierwszych implikacji dla tych, którzy consent mode v2 nie wdrożą. I raczej nie są to czcze zapowiedzi, bo za naruszenie DMA grozi Google kara nawet 20% rocznego globalnego obrotu.

Czego możemy się spodziewać?

• Przestanie działać remarketing – prawdopodobnie natychmiast lub bardzo szybko przestaną się zbierać listy remarketingowe.

Czy to znaczy, że z powodu braku consent mode v2 Twój remarketing nagle przestanie działać? Niekoniecznie. Raczej nie zauważysz zmiany natychmiast, bo „stare” listy będą wciąż aktywne. Reklama stopniowo będzie docierać do coraz węższego grona osób, bo nowi odbiorcy przestaną się dopisywać – aż do czasu wygaśnięcia listy.

Skąd takie przypuszczenie? Gdyby 6 marca oznaczał reset list remarketingowych i remarketing miałby być ograniczony do odbiorców, których dane zostały zebrane wyłącznie w consent mode v2, to również ci, którzy dostosowali się do wymogów, zaobserwowaliby skokowy spadek skuteczności, a Google niczego takiego nie zapowiada.

• Przestanie działać śledzenie konwersji Google Ads – to również jest raczej nieuniknione, choć pewnie nie bez powodu Google mówi w oficjalnym komunikacie wyłącznie o remarketingu. Można więc oczekiwać, że prawdopodobnie nie stanie się to w pierwszych tygodniach marca. Nieoficjalne zapowiedzi mówią, że nastąpi to „w dalszej części 2024 roku”.

Nie masz consent mode v2? Czas działać

Consent mode v2 można wdrożyć na wiele sposobów, ale najbardziej uniwersalnym rozwiązaniem jest wykorzystanie platformy CMP – consent management platform, programu umożliwiającego zbieranie zgody użytkownika przez „banner cookie” i zarządzanie tymi zgodami.

Ale pamiętaj, konfiguracja CMP to nie jest jedynie wklejenie kodu platformy i zastosowanie domyślnych ustawień! Takie „wdrożenie” systemu zarządzania zgodami będzie najprawdopodobniej atrapą, a prawdopodobieństwo, że w ten sposób spełnimy wymogi consent mode v2 – jest znikome.

Kolejnym ważnym elementem będzie Google Tag Manager (GTM), który będzie sterował tagami śledzącymi na stronie. To również nie jest wymóg bezwzględny, ale w praktyce skorzystanie z GTM będzie zazwyczaj najbardziej niezawodnym rozwiązaniem, zwłaszcza w dłuższym horyzoncie. Jego zaletą jest przede wszystkim w znacznej mierze zautomatyzowana aktualizacja, dzięki której dostosowanie się do przyszłych zmian w technologii (a te z pewnością jeszcze nieraz będą mieć miejsce) będzie znacznie łatwiejsze.

Oto, jak do tego podejść.

1. Wybór CMP. Jeżeli jeszcze nie masz systemu zarządzania zgodami, wybierz odpowiednią platformę. Na rynku jest ich wiele, ale jeśli nie masz pewności, czy dana platforma jest zgodna z consent mode v2, możesz posiłkować się listą certyfikowanych partnerów Google.
2. Przeniesienie kodów śledzących do GTM. Jeśli wszystkie Twoje tagi śledzące jeszcze nie są skonfigurowane w Google Tag Managerze (tagi Google Ads i Analytics, Facebook, Microsoft, TikTok, Hotjar itd.), trzeba zadbać o ich przeniesienie do GTM.
3. Synchronizacja GTM z CMP. Następnie należy zaimportować tag platformy CMP do GTM wykorzystując szablon udostępniony przez daną platformę w galerii społeczności GTM. Dzięki temu, stan zgody zbieranej przez „baner cookie” CMP będzie dostępny w GTM.
4. Konfiguracja wymogu zgody dla tagów w GTM. We wszystkich tagach w GTM trzeba określić warunek zgody, który spowoduje, że będą się one uruchamiały tylko za odpowiednią zgodą.

Ważne: tagi Google można skonfigurować w GTM na dwa sposoby:

1. Jeśli wybierzesz „brak wymogu dodatkowej zgody”, to tagi Google będą się również w razie braku zgody i przekazywać do Google stan zgody lub odmowy. Będzie to tzw. advanced consent mode. Dzięki temu Google będzie wiedzieć, że nie może przetwarzać danych użytkownika, gdyż ten nie wyraził zgody, ale zostaną też zebrane dodatkowe, anonimowe informacje, które pozwolą na modelowanie danych i zmniejszenie zniekształceń raportowania wynikających z respektowania braku zgody użytkownika na śledzenie.
2. Z kolei jeśli uwarunkujesz uruchomienie tagów Google wymogiem dodatkowej zgody, będą się one uruchamiały wyłącznie za zgodą użytkownika (basic consent mode). Ograniczy to możliwości modelowania danych, ale uzyskasz pewność, że bez zgody nie wysyłasz do Google żadnych informacji.

Pierwsze rozwiązanie z punktu widzenia jakości danych jest korzystniejsze, ale przed skorzystaniem z tej opcji warto zasięgnąć opinii osoby odpowiedzialnej za ochronę danych osobowych (np. Inspektora Ochrony Danych).

A co z kodami Mety, TikToka, Microsoftu?

Obecnie jedynie Google wymaga konfiguracji kodu w consent mode. Nie znaczy to, że tylko tagi Google należy uruchamiać, biorąc pod uwagę zgodę użytkownika. Zgodnie z obowiązującym prawem, do czasu uzyskania zgody, możesz uruchamiać wyłącznie skrypty, których działanie jest niezbędne do działania strony.

Prawnicy prowadzą wciąż dyskusje interpretacyjne w tym zakresie, ale raczej nie ma wątpliwości, że by być w zgodzie z prawem, skrypty reklamowe można uruchamiać wyłącznie po uzyskaniu zgody.

W Polsce co prawda jeszcze nikt nie został skutecznie ukarany za „brak zgody na cookies”, ale poszanowanie preferencji prywatności użytkownika staje się obowiązującym standardem. Z całą pewnością nie należy bagatelizować związanego z tym ryzyka prawnego i wizerunkowego.

Dlatego konfigurując GTM, należy również skonfigurować odpowiednie ustawienia zgody dla wszystkich kodów śledzących, nie tylko kodów Google. Z perspektywy Google nie ma to co prawda znaczenia, ale dostosowując się do consent mode v2 warto „za jednym zamachem” pochylić się nad zgodnością strony WWW z wymogami prawnymi w zakresie zbierania zgód.

Jak sprawdzić, czy masz poprawnie wdrożony consent mode

Przede wszystkim na początek warto sprawdzić, czy sam system zarządzania zgodami (CMP) działa poprawnie. Można to łatwo zrobić, korzystając z samej przeglądarki.

1. Najpierw zamknij wszystkie karty przeglądarki.
2. Wyczyść dane przeglądania (w szczególności pliki cookie i inne dane witryn – w Chrome > Wyczyść dane przeglądania – opcja „od początku”). Dzięki temu twoja następna wizyta na stronie internetowej będzie wizytą użytkownika, który jeszcze zgody wcześniej nie wyraził.
3. Teraz otwórz kartę przeglądarki i wejdź w Narzędzia dla deweloperów. W Chrome znajdziesz je w menu Widok → Deweloper.
4. W Narzędziach dla deweloperów wejdź na kartę Aplikacja > Pliki cookie (Application → Cookies).
5. Wejdź teraz na swoją stronę WWW. Powinno pojawić się na niej zapytanie o zgodę. Nie reaguj na razie na nie (nie dawaj zgody ani odmowy w banerze cookie).
6. Zobacz, jakie pliki cookie się pojawiły. Powinny to być wyłącznie pliki niezbędne do działania strony, np. takie, które zapamiętuje ustawienia języka lub obsługuje koszyk zakupowy, odpowiada za bezpieczeństwo strony itd.

W szczególności, nie powinny tam się pojawić pliki takie, jak _ga (Google Analytics) _uetsid (Bing Ads), _fbp (Meta), _ttp (TikTok) itd. W razie wątpliwości porozmawiaj z deweloperem strony.

Źródło: adequate.digital

7. Wyraź zgodę w CMP Twojej strony i sprawdź teraz, jak wyglądają parametry pliki cookie – powinno ich się pojawić więcej. To znaczy, że dopiero po zgodzie zostały uruchomione funkcje śledzące.

Źródło: adequate.digital

Warto też sprawdzić informacje zapisywane w rejestrach Pamięć lokalna i Przechowywanie sesji (Local storage i Session storage) na karcie Aplikacja (Application). To są tak zwane „inne, podobne do cookie technologie”, których wykorzystanie może wymagać zgody. Można też powtórzyć te czynności od początku i sprawdzić, jak strona zachowa się podczas odmowy (powinno być tak samo, jak przed wyrażeniem zgody (może zostać zapisane dodatkowe cookie ze statusem zgody (odmowa), jeśli go wcześniej nie było).

Do pełnego audytu compliance tu jeszcze daleko, ale dzięki temu sprawdzisz, czy consent management został skonfigurowany i nie jest atrapą, która nie reaguje na zgodę / odmowę użytkownika.

Jeśli już widzisz, że consent management działa, sprawdź, czy kody Google uruchamiają się w consent mode.

W tym celu powtórz kroki 1-3, a następnie:

4. W Narzędziach dla deweloperów wejdź na kartę Sieć (Network).

5. Wejdź teraz na swoją stronę internetową, ale nie reaguj na razie na okno CMP (nie dawaj zgody ani odmowy w banerze cookie).

6. W polu filtra wpisz „gcd” i otwórz kartę Ładunek (Payload)

7. Sprawdź parametry gcd dla każdego z zapytań.

8. Wyraź zgodę lub odmowę w CMP Twojej strony i sprawdź teraz, jak wyglądają parametry gcd zapytań.

Będą tam zapytania do różnych usług Google, np. analytics google com, doubleclick net, google pl/ads itd. Prawdopodobnie wszystkie będą miały taki sam gcd, ale warto sprawdzić każdy z nich.

Źródło: adequate.digital

Jak powinny wyglądać parametry gcd?

• Przed wyrażeniem zgody każda literka w gcd powinna być „p” (w niektórych implementacjach będzie to „q” – mimo że to wysyła informację o odmowie, zanim została faktycznie wyrażona, w praktyce powinno działać samo).
• Po odmowie, literki te powinny się zmienić na „q”, a po zgodzie – na „r”.

Jeśli to widzisz, to znaczy, że masz prawidłowo wdrożony consent mode v2.

A co jeśli widzisz inne literki?

• Literka „l” (małe „L”) oznacza, że w ogóle nie jest skonfigurowany consent mode (jeśli „l” jest tylko w dwóch ostatnich polach, to znaczy, że masz nieaktualny consent mode i trzeba wykonać upgrade do v2).
• Literki „t”, „u”, „v” oznaczają, że w consent mode została zdefiniowana domyślna zgoda, co nie jest prawidłowe.
• Literki „m” i „n” oznaczają brak domyślnego stanu zgody.

Więcej o znaczeniu literek w statusach przeczytasz w tym artykule.

Status domyślny na każdej stronie witryny powinien być odmową. Następnie, po sprawdzeniu aktualnego stanu zgody przez CMP dokonywana jest aktualizacja. Innymi słowy, status domyślny i update dotyczą każdej strony w witrynie.

W przypadku basic consent mode, przed zgodą nie zostaną wysłane żadne zapytania do Google. Niemniej, domyślny status odmowy powinien być stosowany na wszystkich stronach również w basic consent mode, choć na dziś brak jednoznacznej informacji, czy Google uzna „m” i „n” (brak statusu domyślnego) w basic consent mode za błędne.

Co może pójść nie tak

Wdrożenie zarządzania zgodami i consent mode nie jest wielkim projektem informatycznym, ale niezrozumienie jego istoty i bagatelizowanie jego złożoności powoduje, że znaczna część wdrożeń jest niepoprawna.

Począwszy od tego, że baner cookie może się okazać atrapą i nie wpływać na blokowanie kodów śledzących lub robić to selektywnie, po nieprawidłową konfigurację consent mode czy też nieblokowanie dodatkowych skryptów, które wymagają zgody (np. wbudowanych filmów YouTube’a).

Zdarza się, że nieprawidłowe implementacje skutkują utratą lub zniekształceniem danych.

W jednym artykule nie da się przedstawić wszystkich typowych błędów, choć dzięki podanym wyżej wskazówkom, większość powinno się dać wykryć.

Artykuł ten nie odnosi się do kwestii prawnych. Wdrażając zarządzanie zgodami zawsze warto to robić w porozumieniu z osobami odpowiedzialnymi za ochronę danych, które powinny się wypowiedzieć w kwestii treści zgód, formy baneru, zasad wycofania zgody i regulaminów.

Jeśli reklamujesz się w Google, nie ma alternatywy dla wdrożenia consent mode.

Dla wielu z nas oznacza to dodatkową pracę i koszty, ale od technologii, która respektuje prywatność użytkownika – nie ma już odwrotu.